IT-Sicherheit im GesundheitsministeriumUnbedarft durch die Pandemie

Das Bundesgesundheitsministerium lässt achtzig Prozent der Posten für IT-Sicherheit im eigenen Haus unbesetzt. Obwohl das Ministerium schon länger von diesem Missstand weiß, ist keine Strategie erkennbar, um daran etwas zu ändern.

Jens Spahn sitzt an einem Tisch und schreibt in ein Buch.
Was immer der Chef des Gesundheitsministeriums hier unterschreibt, ein Vertrag für eine neue IT-Fachkraft ist es vermutlich nicht. CC-BY-ND 2.0 Das Saarland

Die Digitalisierung des Gesundheitssystems steht im Bundesgesundheitsministerium (BMG) schon seit einigen Jahren ganz oben auf der Agenda. In kurzen Abständen beglückt Jens Spahn die Republik mit riesigen Gesetzespaketen, die das Gesundheitswesen mit Forschungsdaten, Sprechstunden über Videokonferenzen und der elektronischen Patientenakte fit für die Zukunft machen sollen. Viele Digitalisierungspläne haben durch die Pandemie einen zusätzliche Schub bekommen.

In der Vergangenheit wiesen Spahns Vorhaben oft Probleme bei Datenschutz und IT-Sicherheit auf. Die Apps auf Rezept haben Sicherheitslücken, das Gesetz zur elektronischen Patientenakte ist vermutlich datenschutzwidrig, die Forschungsdaten sind bisher nicht gut aufgehoben. Doch dass IT-Sicherheit ein wichtiges Thema ist, scheint noch nicht ganz im Gesundheitsministerium angekommen zu sein.

Im Februar hatte eine schriftliche Anfrage der netzpolitischen Sprecherin der Linkspartei Anke Domscheit-Berg ergeben, dass rund 80 Prozent der vorgesehenen Stellen für IT-Sicherheit im Gesundheitsministerium unbesetzt geblieben waren. Nur etwa zweieinhalb Stellen waren besetzt. Mitte Mai fragte Domscheit-Berg erneut nach. Das Resultat: Weiterhin sind nur zweieinhalb IT-Stellen besetzt. Anders als andere Ministerien beauftragte Spahn auch keine externen Unternehmen für die IT-Sicherheit seines Hauses.

Haushaltsausschuss genehmigt vier von 68 nötigen Stellen

Auf Anfrage von netzpolitik.org begründet eine Sprecherin das Ministeriums die vielen offenen Stellen mit dem Fachkräftemangel im IT-Sektor: „Bei der Gewinnung von IT-Personal gibt es eine besondere Konkurrenzsituation zwischen freier Wirtschaft und öffentlichem Dienst als Arbeitgeber. Auf entsprechende Ausschreibungen gehen in der Folge häufig nur wenige Bewerbungen ein.“

Das Ministerium messe der Gewinnung qualifizierter Kräfte besondere Bedeutung bei, so die Sprecherin. Das gelte auch für die Behörden, die in den Geschäftsbereich des Gesundheitsressorts fallen, also die Bundeszentrale für gesundheitliche Aufklärung, das Bundesinstitut für Arzneimittel und Medizinprodukte, das Paul-Ehrlich-Institut und das Robert Koch-Institut (RKI). Doch trotz der „besonderen Bedeutung“ der Personalsuche, findet sich auf der Webseite des Ministerium unter Ausschreibungen derzeit keine für den Bereich IT.

Eine Kleine Anfrage der Linksfraktion im Bundestag zeigte schon im Februar Mängel bei den Behörden des BMG. Beim Robert Koch-Institut, beim Paul-Ehrlich-Institut und bei der Bundeszentrale für gesundheitliche Aufklärung fehlen IT-Fachkräfte. So beantragte das RKI für das letzte Jahr 68 neue IT-Stellen. Der Haushaltsausschuss des Bundestags bewilligte lediglich vier.

Ministerium sieht sich voll arbeitsfähig

Die Handlungsfähigkeit sieht man im Gesundheitsministerium dadurch nicht in Gefahr: „Selbst angesichts des außerordentlich hohen Zusatzaufwands durch die Pandemie gerade auch für den IT-Bereich ist es – auch dank des großen Engagements der Mitarbeiterinnen und Mitarbeiter im BMG und im Geschäftsbereich – zu jedem Zeitpunkt gelungen, die volle Arbeitsfähigkeit und IT-Sicherheit zu gewährleisten.“, so die Sprecherin.

Wie genau das „Engagement“ der Mitarbeiter:innen auf den zweieinhalb besetzten Stellen aussieht, ob sie Überstunden machen, um die unbesetzten Stellen zu kompensieren oder fachfremde Beschäftigte die IT-Sicherheit unterstützen, erläutert sie aber nicht. So oder so fällt es schwer, sich bei acht unbesetzten Stellen eine „volle Arbeitsfähigkeit“ vorzustellen.

Opposition kritisiert vernachlässigte IT-Sicherheit

Im Aufgabenbereich der zweieinhalb Stellen liegen laut Ministerium unter anderem: die Überarbeitung und Umsetzung von IT-Sicherheitskonzepten, die Zusammenarbeit mit dem Bundesamt für Sicherheit in der Informationstechnik und die Anpassung der IT-Infrastruktur an neue Anforderungen im Bereich Sicherheit. Die nicht besetzten acht weiteren IT-Stellen würden „in den genannten Aufgabenbereichen weitere Unterstützung leisten“.

Die Linkenpolitikerin Anke Domscheit-Berg kritisiert gegenüber netzpolitik.org Spahns fehlende Sensibilität für die Anforderungen der digitalen Welt: „Gesundheitsminister Spahn hat immer wieder betont, wie wichtig ihm eine schnelle Digitalisierung im Gesundheitswesen ist, hat aber offensichtlich den elementaren Zusammenhang zwischen Datenschutz und IT-Sicherheit nicht verstanden, denn anders ist nicht erklärbar, wie sträflich er den Bereich der IT-Sicherheit im eigenen Haus vernachlässigt.“

Gerade angesichts der vielen IT-Sicherheitsthemen in der Pandemie kann Domscheit-Berg das nicht nachvollziehen: „Wie wollen seine Fachkräfte die IT-Sicherheit bei der Umsetzung von digitalen Impfzertifikaten oder der elektronischen Patientenakte beurteilen? Wie will er rechtfertigen, dass der Bund die Kosten für eine Luca-App übernimmt, deren zahlreiche Sicherheitslücken zur Abschaltung einer Schnittstelle bei der Kontaktverfolgungssoftware (SORMAS) geführt haben und vor deren Einsatz fast 80 IT-Sicherheitsforscher:innen in Deutschland und die Expert:innen des Chaos Computer Clubs ausdrücklich warnen?“

Du möchtest mehr kritische Berichterstattung?

Unsere Arbeit bei netzpolitik.org wird fast ausschließlich durch freiwillige Spenden unserer Leserinnen und Leser finanziert. Das ermöglicht uns mit einer Redaktion von derzeit 15 Menschen viele wichtige Themen und Debatten einer digitalen Gesellschaft journalistisch zu bearbeiten. Mit Deiner Unterstützung können wir noch mehr aufklären, viel öfter investigativ recherchieren, mehr Hintergründe liefern - und noch stärker digitale Grundrechte verteidigen!

 

Unterstütze auch Du unsere Arbeit jetzt mit deiner Spende.

Eine Ergänzung

  1. Der Satz mit der vollen Arbeitsfähigkeit ist ja mal ein ganz großer Quark: wenn 2,5 Stellen volle Arbeitsfähigkeit bedeuten würden, würde man wohl kaum mehr Stellen ausschreiben, schon gar nicht im ÖD.
    Bei voller Arbeitsfähigkeit hätte man wohl auch keine In-House-Verfahren für die Maskenbeschaffung machen müssen, sondern hätte tatsächlich mal prüfen können, was einem da angeboten wird.

    Die machen sich inzwischen nicht mal mehr die Mühe, einen halbwegs gut zu belügen. Andererseits auch logisch, man kann an Spahn sehen, daß man in diesem Land noch mehr versemmeln kann als ein Herr Scheuer und trotzdem untadelig im Amt bleiben. Von daher passt auch die Tatsache, daß man nicht mal mehr richtig lügt, schließlich hat eh nichts Konsequenzen und auch die Medien schweigen hier lieber, was ich bei Spahn allerdings nicht verstehen kann, denn deren Liebling war der ja wohl nie, wird aber gerade so behandelt.

Wir freuen uns auf Deine Anmerkungen, Fragen, Korrekturen und inhaltlichen Ergänzungen zum Artikel. Unsere Regeln zur Veröffentlichung von Ergänzungen findest Du unter netzpolitik.org/kommentare. Deine E-Mail-Adresse wird nicht veröffentlicht.